通过

无线访问部署概述

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

下图显示了使用 PEAP-MS-CHAP v2 部署 802.1X 身份验证无线访问所需的组件。

802.1X Deployment Infrastructure Overview

无线接入部署组件

此无线访问部署需要以下基础结构:

支持 802.1X 的无线接入点

在部署支持无线局域网的所需网络基础结构服务后,可以开始设计无线 AP 的位置。 无线 AP 部署设计过程包括以下步骤:

  • 确定无线用户的覆盖区域。 在确定覆盖区域时,请务必确定是否要在建筑物外部提供无线服务,如果是,请确定这些外部区域的具体位置。

  • 确定需要部署多少个无线 AP 才能确保足够的覆盖范围。

  • 确定无线 AP 的位置。

  • 选择无线 AP 的通道频率。

Active Directory 域服务

无线访问部署需要 AD DS 的以下元素。

用户和计算机

使用“Active Directory 用户和计算机”管理单元创建和管理用户帐户,并创建一个无线安全组,其中包含你要向其授予无线访问权限的每个域成员。

无线网络(IEEE 802.11)策略

可以使用组策略管理的“无线网络(IEEE 802.11)策略”扩展,来配置当无线计算机尝试访问网络时要应用的策略。

在组策略管理编辑器中,当你右键单击“无线网络(IEEE 802.11)策略”时,会显示适用于你创建的无线策略类型的以下两个选项

  • 为 Windows Vista 及更高版本创建新的无线网络策略

  • 创建新的 Windows XP 策略

提示

配置新的无线网络策略时,可以选择更改策略的名称和说明。 如果你更改策略名称,更改将反映在组策略管理编辑器的“详细信息”窗格和无线网络策略对话框的标题栏中。 无论你如何重命名策略,“新建 XP 无线策略”始终会列在组策略管理编辑器中,其“类型”显示为“XP”。 对于其他列出的策略,“类型”将显示为“Vista 及更高版本”

使用 Windows Vista 及更高版本的无线网络策略,可以配置和管理多个无线配置文件并分配其优先级。 无线配置文件是用于连接到特定无线网络的连接和安全设置的集合。 更新无线客户端计算机上的组策略后,在无线网络策略中创建的配置文件会自动添加到应用该策略的无线客户端计算机上的配置中。

允许连接到多个无线网络

如果无线客户端在组织中的不同物理位置之间移动(例如在总部和分支机构之间移动),你可能希望计算机能够连接到多个无线网络。 在这种情况下,可以配置一个无线配置文件,其中包含每个网络的特定连接和安全设置。

例如,假设你的公司为总部组建了一个无线网络,其服务集标识符 (SSID) 为 WlanCorp。

另外,为分支机构也组建了一个无线网络,而你也要连接到该网络。 分支机构的 SSID 配置为 WlanBranch。

在此方案中,可为每个网络配置一个配置文件,并配置在公司总部和分支机构使用的计算机或其他设备,当它们处于网络的物理覆盖范围内时,它们可以连接到任一无线网络。

混合模式无线网络

或者,假设你的网络中混合了支持不同安全标准的无线计算机和设备。 也许某些旧计算机的无线适配器只能使用 WPA-Enterprise,而新设备可以使用更强大的 WPA2-Enterprise 标准。

可以创建两个不同的配置文件,它们使用相同的 SSID 和几乎相同的连接与安全设置。

在一个配置文件中,可以将无线身份验证设置为使用 AES 的 WPA2-Enterprise,而在另一个配置文件中,可以指定使用 TKIP 的 WPA-Enterprise。

这通常称为混合模式部署,它允许不同类型的、具有不同无线功能的计算机共享同一个无线网络。

网络策略服务器 (NPS)

使用 NPS 可以针对连接请求身份验证和授权创建和强制实施网络访问策略。

将 NPS 用作 RADIUS 服务器时,可以将无线接入点等网络访问服务器配置为 NPS 中的 RADIUS 客户端。 还可以配置由 NPS 用来对访问客户端进行身份验证并为其连接请求授权的网络策略。

无线客户端计算机

在本指南中,无线客户端计算机是指配备 IEEE 802.11 无线网络适配器并运行 Windows 客户端或 Windows Server 操作系统的计算机和其他设备。

服务器计算机用作无线客户端

默认情况下,在运行 Windows Server 的计算机上已禁用 802.11 无线功能。

若要在运行服务器操作系统的计算机上启用无线连接,必须使用 Windows PowerShell 或服务器管理器中的添加角色和功能向导来安装并启用无线 LAN (WLAN) 服务功能。

安装“无线 LAN 服务”功能时,将在“服务”中安装新服务“WLAN AutoConfig”。 安装完成后,必须重启服务器。

重启服务器后,可以单击“开始”、“Windows 管理工具”和“服务”来访问 WLAN AutoConfig

安装并重启服务器后,WLAN AutoConfig 服务处于停止状态,其启动类型为“自动”。 若要启动该服务,请双击“WLAN AutoConfig”。 在“常规”选项卡上单击“启动”,然后单击“确定”

WLAN AutoConfig 服务可枚举无线适配器,并可管理无线连接和无线配置文件,这些配置文件包含配置服务器连接到无线网络所需的设置。

有关无线访问部署的概述,请参阅无线访问部署过程